PKI認(rèn)證體系原理.課件

1、PKI認(rèn)證體系原理北京寶興達(dá)信息技術(shù)有限公司第1頁，共15頁。數(shù)據(jù)通訊的安全要素 有效性 機(jī)密性 完整性 可靠性/不可抵賴性/鑒別 審查能力 第2頁，共15頁。PKI模式新的信任模式 (Public Key Infrastructure)WIN32認(rèn)證權(quán)威公認(rèn)認(rèn)證方式自由交流ABC第3頁，共15頁。PKI模式PKI是一個(gè)完整系統(tǒng)維持一個(gè)可靠的網(wǎng)絡(luò)環(huán)境 提供非對(duì)稱式加密算法數(shù)字簽名可向許多不同類型的應(yīng)用提供服務(wù)PKI意味著密鑰管理證書管理第4頁，共15頁。一些密碼學(xué)基本概念對(duì)稱式加密(Symmetric Cryptographic)非對(duì)稱式加密(Asymmetric Cryptographic)

2、密鑰交換協(xié)議(Key Agreement/Exchange)哈希算法(Hash)報(bào)文認(rèn)證碼(MAC)數(shù)字簽名(Digital Signature)數(shù)字證書(Digital ID/Certificate)認(rèn)證中心(Certificate Authority)第5頁，共15頁?；趯?duì)稱密鑰的加密方法加密Encryption“我們的五年計(jì)劃是.”解密Decryption老李小王老李和小王使用同一把密鑰密鑰密鑰老李使用密鑰進(jìn)行加密小王使用密鑰進(jìn)行解密Internet“Py75c%bn&*)9|fDebDFaq#xzjFrg5vMdrkgMs”密文“我們的五年計(jì)劃是.”第6頁，共15頁。非對(duì)稱加密算法加

3、密Encryption解密Decryption老李小王老李和小王使用不同的密鑰老李使用對(duì)方的公鑰對(duì)會(huì)話密鑰進(jìn)行加密小王使用自己的私鑰進(jìn)行解密得到會(huì)話密鑰Internet“Py75c%bn&*)9|fDebDFaq#xzjFrg5vMdrkgMs”密文私鑰公鑰密鑰密鑰小王的公鑰小王的私鑰第7頁，共15頁。RSA算法 R、S、A是三個(gè)科學(xué)家名字的組合，即R.L.Rivest、A.Shamir和L.Adleman，RSA公鑰系統(tǒng)受到了廣泛的重視，并有以該算法為基礎(chǔ)的國(guó)際標(biāo)準(zhǔn)。該算法基于數(shù)論的非對(duì)稱密碼體制，是建立在大整數(shù)的素?cái)?shù)因子分解的困難上的，屬于分組密碼體制。簡(jiǎn)單的說：知道兩個(gè)質(zhì)數(shù)，求出它們的乘

4、積，很容易；但知道一個(gè)整數(shù)，分解成兩個(gè)質(zhì)數(shù)就很復(fù)雜了。 RSA是非對(duì)稱加密算法，加密與解密的密鑰不同，這與DES算法有區(qū)別。RSA主要缺點(diǎn)是產(chǎn)生密鑰受到素?cái)?shù)產(chǎn)生技術(shù)的限制；密鑰分組長(zhǎng)度較長(zhǎng)，運(yùn)算速度較低。第8頁，共15頁。哈希（Hash)密碼學(xué)中哈希的幾個(gè)基本要求輸入可為任意長(zhǎng)度輸出定長(zhǎng)函數(shù)單向足夠小的沖突可能性Hash“我們的五年計(jì)劃是”“B*U9374392l;qHUHW”第9頁，共15頁。數(shù)字簽名Internet老李小王老李和小王使用不同的密鑰老李使用小王的公鑰對(duì)簽名進(jìn)行核實(shí)小王使用私鑰對(duì)消息進(jìn)行簽名私鑰公鑰核實(shí)簽名對(duì)消息簽名“我們亟需定購(gòu)100套Windows2000”“dkso(Sc

5、#xZ02f+bQaur”“我們亟需定購(gòu)100套Windows2000”“我們亟需定購(gòu)100套Windows2000”第10頁，共15頁。數(shù)字證書證書的目的，身份信息，公鑰由認(rèn)證中心(Certificate Authority)發(fā)布擁有者公鑰認(rèn)證中心標(biāo)識(shí)Subject: 老李Not Before: 10/18/99Not After: 10/18/04Signed: Cg6&78#dxSerial Number: 29483756Subjects Public key:公鑰Secure Email Client Authentication擴(kuò)展域擁有者身份信息有效期限Issuer: INET

6、CA1認(rèn)證中心(CA)的數(shù)字證書證書發(fā)布ID號(hào)第11頁，共15頁。認(rèn)證中心(Certificate Authority)密鑰的管理及傳遞，認(rèn)證權(quán)威認(rèn)證中心(CA)的相關(guān)問題證書請(qǐng)求及發(fā)放過程證書驗(yàn)證過程證書的撤銷及更新層次認(rèn)證，信任鏈第12頁，共15頁。PKI認(rèn)證體系的載體1、ESAM嵌入式安全控制模塊 內(nèi)置RSA,3DES、HASH等算法，可與終端綁定2、CPU卡 內(nèi)置RSA算法，可隨身攜帶，需配合讀卡設(shè)備使用，可放入終 端中，也可隨身攜帶。3、電子鑰匙 相當(dāng)與將CPU卡或者ESAM與讀卡器集成為一體，通常直接與 PC機(jī)進(jìn)行通訊，攜帶較方便第13頁，共15頁。 Internet/Intranet瀏覽器/Client 讀卡器卡瀏覽器/Client讀卡器卡CA中心防火墻Web服務(wù)器及應(yīng)用軟件數(shù)據(jù)庫防火墻銀行等數(shù)據(jù)接收網(wǎng)關(guān)業(yè)務(wù)處理流程PK典型應(yīng)用系統(tǒng)構(gòu)成電子鑰匙或電子鑰匙或第14頁，共15頁。在電子簽名、加密中的應(yīng)用流程“我們的五年計(jì)劃是.”明文這是算法算出摘要“Py75c%bn.”“g5vr”電子鑰匙明文數(shù)字證書簽字簽字A私鑰簽名對(duì)稱加密（如：3DES）會(huì)話密鑰數(shù)字信封B公鑰電子簽名包密文加密過后的文件A方Internet/Intranet數(shù)字信封密文會(huì)話密鑰對(duì)稱加密（